EP3471369A1 - Netzwerkknoten zum erzeugen eines authentifizierungsindikators - Google Patents

Netzwerkknoten zum erzeugen eines authentifizierungsindikators Download PDF

Info

Publication number
EP3471369A1
EP3471369A1 EP18198105.1A EP18198105A EP3471369A1 EP 3471369 A1 EP3471369 A1 EP 3471369A1 EP 18198105 A EP18198105 A EP 18198105A EP 3471369 A1 EP3471369 A1 EP 3471369A1
Authority
EP
European Patent Office
Prior art keywords
network node
operating parameter
authentication
processor
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP18198105.1A
Other languages
English (en)
French (fr)
Other versions
EP3471369B1 (de
Inventor
Andreas Wilke
Olaf Dressel
Ilya Komarov
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bundesdruckerei GmbH
Original Assignee
Bundesdruckerei GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bundesdruckerei GmbH filed Critical Bundesdruckerei GmbH
Publication of EP3471369A1 publication Critical patent/EP3471369A1/de
Application granted granted Critical
Publication of EP3471369B1 publication Critical patent/EP3471369B1/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication

Definitions

  • the present invention relates to the field of network technology, in particular the authentication of network nodes in a communication network.
  • the communication between the participating network nodes should be protected, so that potential attacks on the communication network, such as denial of service (DoS) attacks, or unauthorized feeding false user data in the communication network difficult or impossible.
  • DoS denial of service
  • the operability should be maintained and a regular work communication will not be affected.
  • the invention is based on the insight and includes that the above object can be achieved by a network node which monitors an operating parameter of another network node of the communication network and compares it with a corresponding reference operating parameters of the other network node to unexpected deviations of an operating state of a Reference operating state of the other network node to detect.
  • the network node may, on this basis, generate an authentication indicator indicating successful authentication or failed authentication of another network node by the network node.
  • the generated authentication indicator can then be distributed to other network nodes in the communication network, for example by means of a broadcast or a multicast.
  • the network node may receive a plurality of further authentication indicators via the communication network, wherein the plurality of further authentication indicators in turn has been distributed, for example by means of a broadcast or a multicast, from the other network nodes via the communication network.
  • the network node can then decide whether, with regard to the individual further network node, there is a majority of successful authentication or, in the majority of cases, a failed authentication. Consequently, transmission of payload data between the network node and the other network node can be allowed or inhibited.
  • the concept is suitable, for example, for heterogeneous communication networks in which both analog and digital components are used for the network nodes.
  • the monitored operating parameter may be, for example, an analog quantity, such as an electrical voltage or current, or a digital quantity, such as a processor load or a memory load.
  • the invention relates to a network node for generating an authentication indicator.
  • the network node comprises a communication interface, which is designed to receive an operating parameter of another network node via a communication network, wherein the operating parameter of the further network node represents an operating state of the further network node.
  • the network node further comprises a memory, which is designed to store a reference operating parameter of the further network node, wherein the reference operating parameter represents a reference operating state of the further network node.
  • the network node further comprises a processor configured to compare the operating parameter with the reference operating parameter to obtain a comparison result and to generate the authentication indicator based on the comparison result, wherein the authentication indicator is a successful authentication of the further network node by the network node or indicates failed authentication of the other network node by the network node.
  • the authentication indicator represents, depending on the operating parameter or reference operating parameter used, whether an unexpected deviation of an operating state the further network node has been detected by a reference operating state of the further network node from the network node or not.
  • the comparison result can indicate, for example, that the operating parameter corresponds to the reference operating parameter, wherein optionally a predetermined tolerance range around the reference operating parameter can be taken into account.
  • the comparison result may indicate an exceeding or undershooting of the reference operating parameter by the operating parameter.
  • the authentication indicator may indicate successful authentication of the further network node if the comparison result indicates that the operating parameter corresponds to the reference operating parameter. Furthermore, the authentication indicator may indicate a failed authentication of the further network node if the comparison result indicates that the operating parameter exceeds or falls below the reference operating parameter.
  • the communication interface is designed to transmit the authentication indicator, in particular as a broadcast or as a multicast, via the communication network.
  • the communication interface is configured to receive a plurality of further authentication indicators via the communication network
  • the processor is configured to determine a number of successful authentications of the further network node based on the authentication indicator and the plurality of further authentication indicators, and a Determine number of failed authentications of the other network node based on the authentication indicator and the plurality of other authentication indicators.
  • the processor is configured to compare the number of successful authentications of the further network node with the number of failed authentications of the further network node, and a transmission of user data between the network node and the further network node disable if the number of successful authentications is less than or equal to the number of failed authentications.
  • the user data can be, for example, application data, sensor data or command data.
  • a transmission of control data, in particular of operating parameters, between the network node and the further network node may continue to be possible.
  • the processor is configured to allow the transmission of payload data between the network node and the further network node if the number of successful authentications is greater than the number of failed authentications.
  • the processor is configured to weight the number of successful authentications with a first weighting factor and / or to weight the number of failed authentications with a second weighting factor.
  • authentication indicators of network nodes having a higher number of neighboring network nodes may be given a higher weight than authentication indicators of network nodes having a smaller number of neighboring network nodes.
  • the operating parameter comprises at least one of the following operating parameters: an electrical voltage of an electrical circuit of the further network node, an electrical current of an electrical circuit of the further network node, a resonant frequency of an electrical circuit of the further network node, an operating temperature of the further network node, a processor utilization of a Processor of the other network node, or a memory usage of a memory of the other network node.
  • the reference operating parameter comprises at least one of the following reference operating parameters: an electrical reference voltage of an electrical circuit of the further network node, an electrical reference current of an electrical circuit of the further network node, a reference resonant frequency of an electrical circuit of the further network node, a reference operating temperature of the further network node, a reference processor utilization of a Processor of the other network node, or a reference memory usage of a memory of the other network node.
  • the communication interface is configured to receive the operating parameter of the further network node periodically over a predetermined time interval via the communication network, and wherein the processor is configured to set a parameter metric, in particular an average value, a minimum value or a maximum value, of the periodically received operating parameter within the predetermined time interval, and to store the parameter metrics as reference operating parameters in the memory.
  • a parameter metric in particular an average value, a minimum value or a maximum value
  • the predetermined time interval for determining the parameter metrics may, for example, have a duration of 1 hour, 2 hours, 5 hours, 10 hours, 20 hours, 1 day, 2 days, 5 days or 1 week.
  • the invention relates to a network node for transmitting an operating parameter of the network node.
  • the network node comprises a detection device, which is designed to detect the operating parameter of the network node, wherein the operating parameter of the network node represents an operating state of the network node.
  • the network node further comprises a communication interface, which is designed to transmit the operating parameter of the network node via a communication network.
  • the detection device is designed to detect the operating parameters of the network node periodically, wherein the communication interface is designed to transmit the operating parameters of the network node periodically via the communication network.
  • the operating parameter of the network node can be transmitted periodically with a predetermined period duration.
  • the predetermined period may, for example, be 1 second, 2 seconds, 5 seconds, 10 seconds, 1 minute, 2 minutes, 5 minutes or 10 minutes.
  • the operating parameter comprises at least one of the following operating parameters: an electrical voltage of an electrical circuit of the network node, an electrical current of an electrical circuit of the network node, a resonant frequency of an electrical circuit of the network node, an operating temperature of the network node, a processor utilization of a processor of the network node, or a memory usage of a memory of the network node.
  • the detection device may comprise a suitable sensor for detecting the operating parameter.
  • the detection device may comprise a voltage sensor for detecting the electrical voltage, a current sensor for detecting the electric current, a resonance frequency sensor for detecting the resonance frequency, or a temperature sensor for detecting the operating temperature.
  • the detection device may further comprise a processor utilization sensor for detecting the processor utilization or a storage utilization sensor for detecting the storage utilization. Further, the detection means may comprise a data interface configured to receive a processor utilization indicator and / or a memory utilization indicator, the processor utilization indicator indicating the processor utilization, and the memory utilization indicator indicating the memory usage. The processor utilization indicator and / or the memory utilization indicator may be provided and transmitted by the processor of the network node and / or the memory of the network node.
  • the invention relates to a communication system for communicating via a communication network.
  • the communication system includes a network node according to the first aspect of the invention, and a further network node according to the second aspect of the invention.
  • the network node and the further network node are logically adjacent.
  • the advantage is achieved that monitoring of a network node can be achieved by a logically adjacent network node.
  • the logical neighborhood of the network nodes is based on the network topology of the communication network.
  • the network node and the further network node are geographically adjacent.
  • the advantage is achieved that a monitoring of a network node can be achieved by a geographically adjacent network node.
  • the geographical proximity of the network nodes is based on the geographical arrangement of the network nodes in the communication network.
  • the invention relates to a method for operating a network node for generating an authentication indicator.
  • the network node comprises a communication interface, a memory and a processor.
  • the memory is configured to store a reference operating parameter of a further network node, wherein the reference operating parameter represents a reference operating state of the further network node.
  • the method includes receiving an operating parameter of the another network node through the communication interface via a communication network, the operating parameter of the another network node representing an operating state of the another network node, comparing the operating parameter with the reference operating parameter by the processor to obtain a comparison result, and generating the authentication indicator based on the comparison result by the processor, wherein the authentication indicator indicates successful authentication of the further network node by the network node or failed authentication of the further network node by the network node.
  • the method may be performed by the network node. Further features of the method result directly from the features or the functionality of the network node.
  • the invention relates to a method for operating a network node for transmitting an operating parameter of the network node.
  • the Network node comprises a detection device and a communication interface.
  • the method comprises detecting the operating parameter of the network node by the detection device, wherein the operating parameter of the network node represents an operating state of the network node, and transmitting the operating parameter of the network node via a communication network through the communication interface.
  • the method may be performed by the network node. Further features of the method result directly from the features or the functionality of the network node.
  • the invention relates to a computer program with a program code for carrying out the method according to the fourth aspect of the invention or the method according to the fifth aspect of the invention, when the program is executed on a network node.
  • Fig. 1 Figure 12 shows a schematic diagram of a network node 100 for generating an authentication indicator.
  • the network node 100 comprises a communication interface 101, which is designed to receive an operating parameter of a further network node via a communication network, wherein the operating parameter of the further network node represents an operating state of the further network node.
  • the network node 100 further comprises a memory 103, which is designed to store a reference operating parameter of the further network node, wherein the reference operating parameter represents a reference operating state of the further network node.
  • the network node 100 further includes a processor 105 configured to compare the operating parameter with the reference operating parameter to obtain a comparison result and to generate the authentication indicator based on the comparison result, wherein the authentication indicator is a successful authentication of the further network node by the network node or indicates a failed authentication of the further network node by the network node.
  • the operating parameter is an electrical voltage of an electrical circuit of the further network node.
  • the reference operating parameter is accordingly an electrical reference voltage of the electrical circuit of the further network node.
  • the additional network node is to be considered authenticated by the network node 100 if the electrical voltage exceeds the electrical reference voltage.
  • the processor 105 compares the electrical voltage as an operating parameter with the electrical reference voltage as a reference operating parameter and obtains, for example as a comparison result, that the operating parameter exceeds the reference operating parameter.
  • the processor 105 thus generates an authentication indicator indicating successful authentication of the further network node by the network node 100.
  • the processor 105 receives as a result of comparison that the operating parameter corresponds to or falls below the reference operating parameter.
  • the processor 105 thus generates an authentication indicator indicating failed authentication of the other network node by the network node 100.
  • the operating parameter is a resonant frequency of an electrical circuit, for example an electrical resonant circuit, of the further network node.
  • the reference operating parameter is correspondingly a reference resonant frequency of the electrical circuit of the further network node.
  • the other network node is said to be through the network node 100 authenticated, if the resonance frequency corresponds to the reference resonance frequency, wherein a predetermined tolerance range, for example of 1% about the reference resonance frequency, can be taken into account.
  • the processor 105 compares the resonance frequency as an operating parameter with the reference resonance frequency as a reference operating parameter and obtains, for example, as a comparison result, that the operating parameter corresponds to the reference operating parameter.
  • the processor 105 thus generates an authentication indicator indicating successful authentication of the further network node by the network node 100.
  • the processor 105 receives as comparison result that the operating parameter exceeds or falls below the reference operating parameter.
  • the processor 105 thus generates an authentication indicator indicating failed authentication of the other network node by the network node 100.
  • the operating parameter is a processor load of a processor of the other network node.
  • the reference operating parameter is correspondingly a reference processor utilization of the processor of the further network node.
  • the additional network node is said to be authenticated by the network node 100 if the processor utilization falls below the reference processor utilization.
  • the processor 105 compares the processor utilization as the operating parameter with the reference processor utilization as the reference operating parameter and, for example, obtains as comparison result that the operating parameter falls below the reference operating parameter.
  • the processor 105 thus generates an authentication indicator indicating successful authentication of the further network node by the network node 100.
  • the processor 105 receives as a result of comparison that the operating parameter corresponds to or exceeds the reference operating parameter.
  • the processor 105 thus generates an authentication indicator indicating failed authentication of the other network node by the network node 100.
  • the described examples can be generalized to any combination of operating parameters and reference operating parameters, whereby in advance it should only be defined which comparison result should correspond to a successful authentication or an unsuccessful authentication of the further network node.
  • operating parameters or reference operating parameters it is generally possible to use different analog or digital variables which represent an operating state or operating behavior of the further network node.
  • Fig. 2 2 shows a schematic diagram of a network node 200 for transmitting an operating parameter of the network node 200.
  • the network node 200 comprises a detection device 201, which is designed to detect the operating parameter of the network node 200, wherein the operating parameter of the network node 200 represents an operating state of the network node 200.
  • the network node 200 further comprises a communication interface 203, which is designed to transmit the operating parameter of the network node 200 via a communication network.
  • the detection device 201 may include a suitable sensor for detecting the operating parameter, depending on the operating parameter used.
  • the detection device 201 may include a voltage sensor for detecting an electrical voltage, a current sensor for detecting an electric current, a resonance frequency sensor for detecting a resonance frequency, or a temperature sensor for detecting an operating temperature.
  • Detector 201 may further include a processor utilization sensor for detecting a processor load or a memory utilization sensor for detecting a memory usage. Further, the detector 201 may include a data interface configured to receive a processor utilization indicator and / or a memory usage indicator, the processor utilization indicator indicating the processor utilization, and the memory usage indicator indicating the memory usage. The processor utilization indicator and / or the memory utilization indicator may be provided and transmitted by a processor of the network node 200 and / or a memory of the network node 200.
  • FIG. 12 shows a schematic diagram of a communication system 300 for communicating over a communication network.
  • the communication system 300 includes a network node 100 and another network node 200.
  • the network node 100 is configured to generate an authentication indicator.
  • the network node 100 comprises a communication interface 101, which is configured to receive an operating parameter of the further network node 200 via a communication network, wherein the operating parameter of the further network node 200 represents an operating state of the further network node 200.
  • the network node 100 further comprises a memory 103, which is configured to store a reference operating parameter of the further network node 200, wherein the reference operating parameter represents a reference operating state of the further network node 200.
  • the network node 100 further comprises a processor 105 configured to compare the operating parameter with the reference operating parameter to obtain a comparison result and to generate the authentication indicator based on the comparison result, wherein the authentication indicator is a successful authentication of the further network node 200 by the Network node 100 or failed authentication of the other network node 200 by the network node 100 indicates.
  • the further network node 200 is designed to transmit the operating parameter of the further network node 200.
  • the further network node 200 comprises a detection device 201, which is designed to detect the operating parameter of the further network node 200, wherein the operating parameter of the further network node 200 represents the operating state of the further network node 200.
  • the further network node 200 further comprises a communication interface 203, which is designed to send the operating parameter of the further network node 200 to the network node 100 via the communication network.
  • FIG. 12 shows a schematic diagram of a communication system 300 for communicating over a communication network.
  • the communication system 300 comprises a plurality of network nodes 100, 100a, 100b, 100c, 100d and a further network node 200.
  • the plurality of network nodes 100, 100a, 100b, 100c, 100d are of identical construction and have identical functionalities.
  • Each network node 100, 100a, 100b, 100c, 100d is configured to generate a respective authentication indicator.
  • Each network node 100, 100a, 100b, 100c, 100d comprises a communication interface, which is designed to receive an operating parameter of the further network node 200 via the communication network, wherein the operating parameter of the further network node 200 represents an operating state of the further network node 200.
  • Each network node 100, 100a, 100b, 100c, 100d further comprises a memory, which is configured to store a respective reference operating parameter of the further network node 200, the respective reference operating parameter representing a respective reference operating state of the further network node 200.
  • Each network node 100, 100a, 100b, 100c, 100d further comprises a processor, which is configured to compare the operating parameter with the respective reference operating parameter, by a respective comparison result and to generate a respective authentication indicator based on the respective comparison result, wherein the respective authentication indicator is a successful authentication of the further network node 200 by the respective network node 100, 100a, 100b, 100c, 100d or failed authentication of the further network node 200 by the respective network nodes 100, 100a, 100b, 100c, 100d.
  • the communication interface can be designed to transmit the respective authentication indicator via the communication network, for example as a broadcast or as a multicast.
  • the further network node 200 is designed to transmit the operating parameter of the further network node 200.
  • the further network node 200 comprises a detection device, which is designed to detect the operating parameter of the further network node 200, wherein the operating parameter of the further network node 200 represents the operating state of the further network node 200.
  • the further network node 200 further comprises a communication interface, which is designed to transmit the operating parameter of the further network node 200 via the communication network to the plurality of network nodes 100, 100a, 100b, 100c, 100d.
  • the transmission of the operating parameter can take place, for example, as a broadcast or as a multicast.
  • Each network node 100, 100a, 100b, 100c, 100d can decide, using the respectively generated authentication indicators, whether a transmission of user data between the respective network node 100, 100a, 100b, 100c, 100d and the further network node 200 is permitted or inhibited. This will be explained by way of example for the network node 100 and applies correspondingly to the network nodes 100a, 100b, 100c, 100d.
  • the processor of the network node 100 generates an authentication indicator that indicates successful or failed authentication of the other network node 200 by the network node 100. Furthermore, the communication interface of the network node 100 receives a plurality of further authentication indicators via the communication network from the network nodes 100a, 100b, 100c, 100d, which respectively indicate a successful or failed authentication of the further network node 200 by the respective network node 100a, 100b, 100c, 100d. The processor of the network node 100 determines on the basis of the authentication indicator and the plurality of further authentication indicators a number of successful authentications of the other network node 200 and a number of failed authentications of the other network node 200.
  • the processor of the network node 100 is configured to compare the number of successful authentications of the further network node 200 with the number of failed authentications of the further network node 200. Consequently, the processor of the network node 100 can inhibit a transfer of payload data between the network node 100 and the further network node 200 if the number of successful authentications is less than or equal to the number of failed authentications, and the transfer of payload data between the network node 100 and the other Allow network node 200 if the number of successful authentications is greater than the number of failed authentications.
  • each individual network node can have both the functionality of the network node 100 and the functionality of the network node 200 at the same time. Consequently, monitoring of each network node in the communication network can be realized by any other network node.
  • FIG. 12 shows a schematic diagram of a method 400 for operating a network node to generate an authentication indicator.
  • the network node comprises a communication interface, a memory and a processor.
  • the memory is configured to store a reference operating parameter of a further network node, wherein the reference operating parameter represents a reference operating state of the further network node.
  • the method 400 comprises receiving 401 an operating parameter of the further network node via a communication network through the communication interface, the operating parameter of the further network node representing an operating state of the further network node, comparing the operating parameter with the reference operating parameter 403 by the processor to obtain a comparison result, and generating, by the processor, the authentication indicator based on the comparison result, wherein the authentication indicator indicates a successful authentication of the further network node by the network node or an unsuccessful authentication of the further network node by the network node.
  • FIG. 12 shows a schematic diagram of a method 500 for operating a network node to send out an operating parameter of the network node.
  • the Network node comprises a detection device and a communication interface.
  • the method 500 includes acquiring 501 the operating parameter of the network node by the detecting device, wherein the operating parameter of the network node represents an operating state of the network node, and transmitting 503 the operating parameter of the network node via a communication network through the communication interface.
  • the concept creates a possibility of monitoring a heterogeneous communication network with network nodes, which have analog components, digital components and communication interfaces, with regard to the authenticity and integrity of the network nodes.
  • a mutual authentication of the network nodes can take place.
  • the network nodes can be formed, for example, by machines, analog or digital sensors, microcontrollers, PCs, mobile terminals, or software components.
  • the use of a central instance can be dispensed with, whereby the data security in the communication network can be increased.
  • Each network node of the communication network can actively control its respective neighbors and use analog and digital quantities as characteristics.
  • the first scenario involves booting up another network node.
  • an initial authentication is performed.
  • the other network node either new to the communication network or disabled for some time or offline, should be re-checked. It can be clarified whether the booting further network node was already part of the communication network or, if it is a newly added further network node, whether this met the requirement to be included in the existing communication network and transmit user data.
  • a characteristic operating parameter for starting up the further network node can be used for the check.
  • the plurality of network nodes in the vicinity of the booting further network node can each autonomously and automatically identified this characteristic operating parameter and stored each as a reference operating parameter.
  • an authentication indicator can already be generated for each of them.
  • this further network node can be defined as new and a reference operating parameter relating to its first startup behavior can be stored.
  • the further network node provides the operating parameter for this and can send it out periodically.
  • the second scenario relates to ongoing operation of the other network node.
  • a dynamic authentication is performed. So that the authenticity and integrity of the communication network can also be checked in the existing operation, a check of the network nodes can take place during operation. For example, the state or the behavior of the other network node may change during operation, for example because new software is being loaded onto this network node because a subcomponent of this network node is being booted up or put into operation, or because of a critical aging in this network node or the communication network itself has taken place.
  • the plurality of network nodes analyzes what the operating state or the operating behavior of the adjacent further network node looks like. By providing at least one operating parameter of the further network node, the plurality of network nodes are enabled to determine whether they are the same further network node. According to one embodiment, a correlation analysis or an approach from the field of artificial intelligence can be used for this purpose.
  • Each network node provides at least one operating parameter which it can deliver about itself, in particular an analog and / or a digital variable.
  • the operating parameter represents a current curve, a voltage curve, a cryptographic certificate, or a software version.
  • the operating parameter is part of a current curve, a voltage curve, a cryptographic certificate, or a software version.
  • each network node can provide a unique identification identifier (ID) of the respective network node together with the at least one operating parameter.
  • ID unique identification identifier
  • Each network node can self-evaluate and determine which network node it checks in its neighborhood. It can the The maxim is that every network node tries to monitor as many other network nodes as possible without having to accept any restrictions on their own performance.
  • the neighboring network nodes or the communications network decide whether the change is an anomaly. If this question is answered in the affirmative, the affected network node can be isolated and the transmission of user data from or to this network node can be stopped.
  • the concept allows an increase in security through mutual authentication of the network nodes.
  • a potential failure of a network node can be predicted (predictive point of failure).
  • a decentralized storage and evaluation of critical operating parameters can be carried out, whereby the security can be further increased.
  • a secure communications network for Industry 4.0 applications may be implemented with different sensors, machines, and processes, in which each network node controls, for example, its immediate neighborhood, and in which, for example, power on or off, as well as ongoing operation of network nodes by others Network node can be controlled.

Abstract

Die Erfindung betrifft einen Netzwerkknoten (100) zum Erzeugen eines Authentifizierungsindikators. Der Netzwerkknoten (100) umfasst eine Kommunikationsschnittstelle (101), welche ausgebildet ist, einen Betriebsparameter eines weiteren Netzwerkknotens über ein Kommunikationsnetzwerk zu empfangen, wobei der Betriebsparameter des weiteren Netzwerkknotens einen Betriebszustand des weiteren Netzwerkknotens repräsentiert. Der Netzwerkknoten (100) umfasst ferner einen Speicher (103), welcher ausgebildet ist, einen Referenzbetriebsparameter des weiteren Netzwerkknotens zu speichern, wobei der Referenzbetriebsparameter einen Referenzbetriebszustand des weiteren Netzwerkknotens repräsentiert. Der Netzwerkknoten (100) umfasst ferner einen Prozessor (105), welcher ausgebildet ist, den Betriebsparameter mit dem Referenzbetriebsparameter zu vergleichen, um ein Vergleichsergebnis zu erhalten, und den Authentifizierungsindikator auf der Basis des Vergleichsergebnisses zu erzeugen, wobei der Authentifizierungsindikator eine erfolgreiche Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten oder eine fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten anzeigt.

Description

  • Die vorliegende Erfindung betrifft das Gebiet der Netzwerktechnik, insbesondere der Authentifikation von Netzwerkknoten in einem Kommunikationsnetzwerk.
  • Bei der Vernetzung von Maschinenparks oder Produktionsprozessen über Kommunikationsnetzwerke besteht häufig das Problem, eine Verifikation der Authentizität und Integrität einzelner Netzwerkknoten des Kommunikationsnetzwerkes von oberen Softwarekomponenten bis auf die Sensorebene zu realisieren. Dies ist deshalb relevant, da für die Authentizität und Integrität des Kommunikationsnetzwerkes gewährleistet sein sollte, dass jeder Netzwerkknoten des Kommunikationsnetzwerkes, inklusive Sensoren, Controller, Maschinen und Softwarekomponenten, auch vertrauenswürdig ist.
  • In diesem Zusammenhang soll bei vernetzten Maschinenparks oder Produktionsprozessen insbesondere die Kommunikation zwischen den beteiligten Netzwerkknoten geschützt werden, damit potentielle Angriffe auf das Kommunikationsnetzwerk, beispielsweise Denialof-Service (DoS) Angriffe, oder ein unerlaubtes Einspeisen falscher Nutzdaten in das Kommunikationsnetzwerk erschwert bzw. unmöglich wird. Zugleich soll die Bedienbarkeit erhalten bleiben und eine reguläre Arbeitskommunikation nicht beeinträchtigt werden.
  • Es ist daher eine Aufgabe der vorliegenden Erfindung, ein effizientes Konzept zur Verifikation einer Authentizität eines Netzwerkknotens in einem Kommunikationsnetzwerk zu schaffen.
  • Diese Aufgabe wird durch die Merkmale der unabhängigen Patentansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der abhängigen Patentansprüche, der Beschreibung sowie der Zeichnungen.
  • Die Erfindung basiert auf der Erkenntnis und schließt diese mit ein, dass die obige Aufgabe durch einen Netzwerkknoten gelöst werden kann, welcher einen Betriebsparameter eines weiteren Netzwerkknotens des Kommunikationsnetzwerkes überwacht und diesen mit einem entsprechenden Referenzbetriebsparametern des weiteren Netzwerkknotens vergleicht, um unerwartete Abweichungen eines Betriebszustandes von einem Referenzbetriebszustand des weiteren Netzwerkknotens zu detektieren. Der Netzwerkknoten kann auf dieser Basis einen Authentifizierungsindikator erzeugen, welcher eine erfolgreiche Authentifizierung oder eine fehlgeschlagene Authentifizierung eines weiteren Netzwerkknotens durch den Netzwerkknoten anzeigt.
  • Der erzeugte Authentifizierungsindikator kann anschließend beispielsweise mittels eines Broadcasts oder eines Multicasts an andere Netzwerkknoten in dem Kommunikationsnetzwerk verteilt werden. Ferner kann der Netzwerkknoten eine Mehrzahl von weiteren Authentifizierungsindikatoren über das Kommunikationsnetzwerk empfangen, wobei die Mehrzahl von weiteren Authentifizierungsindikatoren ihrerseits beispielsweise mittels eines Broadcasts oder eines Multicasts von den anderen Netzwerkknoten über das Kommunikationsnetzwerk verteilt wurde. Der Netzwerkknoten kann anschließend entscheiden, ob hinsichtlich des einzelnen weiteren Netzwerkknotens mehrheitlich eine erfolgreiche Authentifizierung oder mehrheitlich eine fehlgeschlagene Authentifizierung vorliegt. Folglich kann eine Übertragung von Nutzdaten zwischen dem Netzwerkknoten und dem weiteren Netzwerkknoten zugelassen oder unterbunden werden.
  • Das Konzept eignet sich beispielsweise für heterogene Kommunikationsnetzwerke, in welchen für die Netzwerkknoten sowohl analoge als auch digitale Komponenten verwendet werden. Der überwachte Betriebsparameter kann beispielsweise eine analoge Größe, wie beispielsweise eine elektrische Spannung oder ein elektrischer Strom, oder eine digitale Größe, wie beispielsweise eine Prozessorauslastung oder eine Speicherauslastung, sein.
  • Gemäß einem ersten Aspekt betrifft die Erfindung einen Netzwerkknoten zum Erzeugen eines Authentifizierungsindikators. Der Netzwerkknoten umfasst eine Kommunikationsschnittstelle, welche ausgebildet ist, einen Betriebsparameter eines weiteren Netzwerkknotens über ein Kommunikationsnetzwerk zu empfangen, wobei der Betriebsparameter des weiteren Netzwerkknotens einen Betriebszustand des weiteren Netzwerkknotens repräsentiert. Der Netzwerkknoten umfasst ferner einen Speicher, welcher ausgebildet ist, einen Referenzbetriebsparameter des weiteren Netzwerkknotens zu speichern, wobei der Referenzbetriebsparameter einen Referenzbetriebszustand des weiteren Netzwerkknotens repräsentiert. Der Netzwerkknoten umfasst ferner einen Prozessor, welcher ausgebildet ist, den Betriebsparameter mit dem Referenzbetriebsparameter zu vergleichen, um ein Vergleichsergebnis zu erhalten, und den Authentifizierungsindikator auf der Basis des Vergleichsergebnisses zu erzeugen, wobei der Authentifizierungsindikator eine erfolgreiche Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten oder eine fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten anzeigt.
  • Der Authentifizierungsindikator repräsentiert, je nach verwendetem Betriebsparameter bzw. Referenzbetriebsparameter, ob eine unerwartete Abweichungen eines Betriebszustandes des weiteren Netzwerkknotens von einem Referenzbetriebszustand des weiteren Netzwerkknotens von dem Netzwerkknoten detektiert wurde oder nicht.
  • Das Vergleichsergebnis kann beispielsweise anzeigen, dass der Betriebsparameter dem Referenzbetriebsparameter entspricht, wobei gegebenenfalls ein vorbestimmter Toleranzbereich um den Referenzbetriebsparameter berücksichtigt werden kann. Das Vergleichsergebnis kann alternativ ein Überschreiten oder ein Unterschreiten des Referenzbetriebsparameters durch den Betriebsparameter anzeigen.
  • Der Authentifizierungsindikator kann beispielsweise eine erfolgreiche Authentifizierung des weiteren Netzwerkknotens anzeigen, wenn das Vergleichsergebnis anzeigt, dass der Betriebsparameter dem Referenzbetriebsparameter entspricht. Ferner kann der Authentifizierungsindikator eine fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens anzeigen, wenn das Vergleichsergebnis anzeigt, dass der Betriebsparameter den Referenzbetriebsparameter überschreitet oder unterschreitet.
  • Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ausgebildet, den Authentifizierungsindikator, insbesondere als Broadcast oder als Multicast, über das Kommunikationsnetzwerk auszusenden. Dadurch wird der Vorteil erreicht, dass eine erfolgreiche oder fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten effizient signalisiert werden kann.
  • Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ausgebildet, eine Mehrzahl von weiteren Authentifizierungsindikatoren über das Kommunikationsnetzwerk zu empfangen, und wobei der Prozessor ausgebildet ist, eine Anzahl von erfolgreichen Authentifizierungen des weiteren Netzwerkknotens auf der Basis des Authentifizierungsindikators und der Mehrzahl von weiteren Authentifizierungsindikatoren zu bestimmen, und eine Anzahl von fehlgeschlagenen Authentifizierungen des weiteren Netzwerkknotens auf der Basis des Authentifizierungsindikators und der Mehrzahl von weiteren Authentifizierungsindikatoren zu bestimmen. Dadurch wird der Vorteil erreicht, dass eine erfolgreiche oder fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens durch andere Netzwerkknoten dem Netzwerkknoten effizient signalisiert werden kann.
  • Gemäß einer Ausführungsform ist der Prozessor ausgebildet, die Anzahl von erfolgreichen Authentifizierungen des weiteren Netzwerkknotens mit der Anzahl von fehlgeschlagenen Authentifizierungen des weiteren Netzwerkknotens zu vergleichen, und eine Übertragung von Nutzdaten zwischen dem Netzwerkknoten und dem weiteren Netzwerkknoten zu unterbinden falls die Anzahl von erfolgreichen Authentifizierungen kleiner oder gleich der Anzahl von fehlgeschlagenen Authentifizierungen ist. Dadurch wird der Vorteil erreicht, dass der weitere Netzwerkknoten von dem Kommunikationsnetzwerk isoliert werden kann, falls mehrheitlich fehlgeschlagene Authentifizierungen des weiteren Netzwerkknotens vorliegen.
  • Die Nutzdaten können beispielsweise Applikationsdaten, Sensordaten oder Befehlsdaten sein. Eine Übertragung von Steuerdaten, insbesondere von Betriebsparameter, zwischen dem Netzwerkknoten und dem weiteren Netzwerkknoten kann weiterhin möglich bleiben.
  • Gemäß einer Ausführungsform ist der Prozessor ausgebildet, die Übertragung von Nutzdaten zwischen dem Netzwerkknoten und dem weiteren Netzwerkknoten zuzulassen falls die Anzahl von erfolgreichen Authentifizierungen größer als die Anzahl von fehlgeschlagenen Authentifizierungen ist. Dadurch wird der Vorteil erreicht, dass der weitere Netzwerkknoten innerhalb des Kommunikationsnetzwerkes Nutzdaten kommunizieren kann bzw. eine Isolation des weiteren Netzwerkknotens wieder aufgehoben werden kann.
  • Gemäß einer Ausführungsform ist der Prozessor ausgebildet, die Anzahl von erfolgreichen Authentifizierungen mit einem ersten Gewichtungsfaktor zu gewichten und/oder die Anzahl von fehlgeschlagenen Authentifizierungen mit einem zweiten Gewichtungsfaktor zu gewichten. Dadurch wird der Vorteil erreicht, dass beispielsweise eine topologische Anordnung der beteiligten Netzwerkknoten berücksichtigt werden kann.
  • Beispielsweise kann Authentifizierungsindikatoren von Netzwerkknoten mit einer höheren Anzahl an benachbarten Netzwerkknoten ein höheres Gewicht beigemessen werden als Authentifizierungsindikatoren von Netzwerkknoten mit einer geringeren Anzahl an benachbarten Netzwerkknoten.
  • Gemäß einer Ausführungsform umfasst der Betriebsparameter zumindest einen der folgenden Betriebsparameter: eine elektrische Spannung einer elektrischen Schaltung des weiteren Netzwerkknotens, einen elektrischen Strom einer elektrischen Schaltung des weiteren Netzwerkknotens, eine Resonanzfrequenz einer elektrischen Schaltung des weiteren Netzwerkknotens, eine Betriebstemperatur des weiteren Netzwerkknotens, eine Prozessorauslastung eines Prozessors des weiteren Netzwerkknotens, oder eine Speicherauslastung eines Speichers des weiteren Netzwerkknotens. Dadurch wird der Vorteil erreicht, dass sowohl analoge Größen als auch digitale Größen als Betriebsparameter verwendet werden können.
  • Gemäß einer Ausführungsform umfasst der Referenzbetriebsparameter zumindest einen der folgenden Referenzbetriebsparameter: eine elektrische Referenzspannung einer elektrischen Schaltung des weiteren Netzwerkknotens, einen elektrischen Referenzstrom einer elektrischen Schaltung des weiteren Netzwerkknotens, eine Referenzresonanzfrequenz einer elektrischen Schaltung des weiteren Netzwerkknotens, eine Referenzbetriebstemperatur des weiteren Netzwerkknotens, eine Referenzprozessorauslastung eines Prozessors des weiteren Netzwerkknotens, oder eine Referenzspeicherauslastung eines Speichers des weiteren Netzwerkknotens. Dadurch wird der Vorteil erreicht, dass sowohl analoge Größen als auch digitale Größen als Referenzbetriebsparameter verwendet werden können.
  • Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ausgebildet, den Betriebsparameter des weiteren Netzwerkknotens periodisch innerhalb eines vorbestimmtes Zeitintervalls über das Kommunikationsnetzwerk zu empfangen, und wobei der Prozessor ausgebildet ist, eine Parametermetrik, insbesondere einen Mittelwert, einen Minimalwert oder einen Maximalwert, des periodisch empfangenen Betriebsparameters innerhalb des vorbestimmten Zeitintervalls zu bestimmen, und die Parametermetrik als Referenzbetriebsparameter in dem Speicher zu speichern. Dadurch wird der Vorteil erreicht, dass der Referenzbetriebsparameter effizient erstmalig bestimmt bzw. laufend aktualisiert werden kann.
  • Das vorbestimmte Zeitintervall zur Bestimmung der Parametermetrik kann beispielsweise eine Zeitdauer von 1 Stunde, 2 Stunden, 5 Stunden, 10 Stunden, 20 Stunden, 1 Tag, 2 Tagen, 5 Tagen oder 1 Woche aufweisen.
  • Gemäß einem zweiten Aspekt betrifft die Erfindung einen Netzwerkknoten zum Aussenden eines Betriebsparameters des Netzwerkknotens. Der Netzwerkknoten umfasst eine Erfassungseinrichtung, welche ausgebildet ist, den Betriebsparameters des Netzwerkknotens zu erfassen, wobei der Betriebsparameter des Netzwerkknotens einen Betriebszustand des Netzwerkknotens repräsentiert. Der Netzwerkknoten umfasst ferner eine Kommunikationsschnittstelle, welche ausgebildet ist, den Betriebsparameter des Netzwerkknotens über ein Kommunikationsnetzwerk auszusenden.
  • Gemäß einer Ausführungsform ist die Erfassungseinrichtung ausgebildet, den Betriebsparameter des Netzwerkknotens periodisch zu erfassen, wobei die Kommunikationsschnittstelle ausgebildet ist, den Betriebsparameter des Netzwerkknotens periodisch über das Kommunikationsnetzwerk auszusenden. Dadurch wird der Vorteil erreicht, dass der Netzwerkknoten eine laufende Überwachung seines Betriebszustandes durch andere Netzwerkknoten ermöglicht.
  • Der Betriebsparameter des Netzwerkknotens kann mit einer vorbestimmten Periodendauer periodisch ausgesendet werden. Die vorbestimmte Periodendauer kann beispielsweise 1 Sekunde, 2 Sekunden, 5 Sekunden, 10 Sekunden, 1 Minute, 2 Minuten, 5 Minuten oder 10 Minuten sein.
  • Gemäß einer Ausführungsform umfasst der Betriebsparameter zumindest einen der folgenden Betriebsparameter: eine elektrische Spannung einer elektrischen Schaltung des Netzwerkknotens, einen elektrischen Strom einer elektrischen Schaltung des Netzwerkknotens, eine Resonanzfrequenz einer elektrischen Schaltung des Netzwerkknotens, eine Betriebstemperatur des Netzwerkknotens, eine Prozessorauslastung eines Prozessors des Netzwerkknotens, oder eine Speicherauslastung eines Speichers des Netzwerkknotens. Dadurch wird der Vorteil erreicht, dass sowohl analoge Größen als auch digitale Größen als Betriebsparameter verwendet werden können.
  • Die Erfassungseinrichtung kann je nach verwendetem Betriebsparameter einen geeigneten Sensor zum Erfassen des Betriebsparameters umfassen. Beispielsweise kann die Erfassungseinrichtung einen Spannungssensor zum Erfassen der elektrischen Spannung, einen Stromsensor zum Erfassen des elektrischen Stromes, einen Resonanzfrequenzsensor zum Erfassen der Resonanzfrequenz, oder einen Temperatursensor zum Erfassen der Betriebstemperatur umfassen.
  • Die Erfassungseinrichtung kann ferner einen Prozessorauslastungssensor zum Erfassen der Prozessorauslastung oder einen Speicherauslastungssensor zum Erfassen der Speicherauslastung umfassen. Ferner kann die Erfassungseinrichtung eine Datenschnittstelle aufweisen, welche ausgebildet ist, einen Prozessorauslastungsindikator und/oder einen Speicherauslastungsindikator zu empfangen, wobei der Prozessorauslastungsindikator die Prozessorauslastung anzeigt, und wobei der Speicherauslastungsindikator die Speicherauslastung anzeigt. Der Prozessorauslastungsindikator und/oder der Speicherauslastungsindikator können durch den Prozessor des Netzwerkknotens und/oder den Speicher des Netzwerkknotens bereitgestellt und ausgesendet werden.
  • Gemäß einem dritten Aspekt betrifft die Erfindung ein Kommunikationssystem zum Kommunizieren über ein Kommunikationsnetzwerk. Das Kommunikationssystem umfasst einen Netzwerkknoten gemäß dem ersten Aspekt der Erfindung, und einen weiteren Netzwerkknoten gemäß dem zweiten Aspekt der Erfindung.
  • Gemäß einer Ausführungsform sind der Netzwerkknoten und der weitere Netzwerkknoten logisch benachbart. Dadurch wird der Vorteil erreicht, dass eine Überwachung eines Netzwerkknotens durch einen logisch benachbarten Netzwerkknoten erreicht werden kann. Die logische Nachbarschaft der Netzwerkknoten basiert hierbei auf der Netzwerktopologie des Kommunikationsnetzwerkes.
  • Gemäß einer Ausführungsform sind der Netzwerkknoten und der weitere Netzwerkknoten geographisch benachbart. Dadurch wird der Vorteil erreicht, dass eine Überwachung eines Netzwerkknotens durch einen geographisch benachbarten Netzwerkknoten erreicht werden kann. Die geographische Nachbarschaft der Netzwerkknoten basiert hierbei auf der geographischen Anordnung der Netzwerkknoten in dem Kommunikationsnetzwerk.
  • Gemäß einem vierten Aspekt betrifft die Erfindung ein Verfahren zum Betreiben eines Netzwerkknotens zum Erzeugen eines Authentifizierungsindikators. Der Netzwerkknoten umfasst eine Kommunikationsschnittstelle, einen Speicher und einen Prozessor. Der Speicher ist ausgebildet, einen Referenzbetriebsparameter eines weiteren Netzwerkknotens zu speichern, wobei der Referenzbetriebsparameter einen Referenzbetriebszustand des weiteren Netzwerkknotens repräsentiert. Das Verfahren umfasst ein Empfangen eines Betriebsparameters des weiteren Netzwerkknotens über ein Kommunikationsnetzwerk durch die Kommunikationsschnittstelle, wobei der Betriebsparameter des weiteren Netzwerkknotens einen Betriebszustand des weiteren Netzwerkknotens repräsentiert, ein Vergleichen des Betriebsparameters mit dem Referenzbetriebsparameter durch den Prozessor, um ein Vergleichsergebnis zu erhalten, und ein Erzeugen des Authentifizierungsindikators auf der Basis des Vergleichsergebnisses durch den Prozessor, wobei der Authentifizierungsindikator eine erfolgreiche Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten oder eine fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten anzeigt.
  • Das Verfahren kann durch den Netzwerkknoten ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen bzw. der Funktionalität des Netzwerkknotens.
  • Gemäß einem fünften Aspekt betrifft die Erfindung ein Verfahren zum Betreiben eines Netzwerkknotens zum Aussenden eines Betriebsparameters des Netzwerkknotens. Der Netzwerkknoten umfasst eine Erfassungseinrichtung und eine Kommunikationsschnittstelle. Das Verfahren umfasst ein Erfassen des Betriebsparameters des Netzwerkknotens durch die Erfassungseinrichtung, wobei der Betriebsparameter des Netzwerkknotens einen Betriebszustand des Netzwerkknotens repräsentiert, und ein Aussenden des Betriebsparameters des Netzwerkknotens über ein Kommunikationsnetzwerk durch die Kommunikationsschnittstelle.
  • Das Verfahren kann durch den Netzwerkknoten ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen bzw. der Funktionalität des Netzwerkknotens.
  • Gemäß einem sechsten Aspekt betrifft die Erfindung ein Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens gemäß dem vierten Aspekt der Erfindung oder des Verfahrens gemäß dem fünften Aspekt der Erfindung, wenn das Programm auf einem Netzwerkknoten ausgeführt wird.
  • Weitere Ausführungsbeispiele werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
  • Fig. 1
    ein schematisches Diagramm eines Netzwerkknotens zum Erzeugen eines Authentifizierungsindikators;
    Fig. 2
    ein schematisches Diagramm eines Netzwerkknotens zum Aussenden eines Betriebsparameters des Netzwerkknotens;
    Fig. 3
    ein schematisches Diagramm eines Kommunikationssystems zum Kommunizieren über ein Kommunikationsnetzwerk;
    Fig. 3a
    ein schematisches Diagramm eines Kommunikationssystems zum Kommunizieren über ein Kommunikationsnetzwerk;
    Fig. 4
    ein schematisches Diagramm eines Verfahrens zum Betreiben eines Netzwerkknotens zum Erzeugen eines Authentifizierungsindikators; und
    Fig. 5
    ein schematisches Diagramm eines Verfahrens zum Betreiben eines Netzwerkknotens zum Aussenden eines Betriebsparameters des Netzwerkknotens.
  • Fig. 1 zeigt ein schematisches Diagramm eines Netzwerkknotens 100 zum Erzeugen eines Authentifizierungsindikators. Der Netzwerkknoten 100 umfasst eine Kommunikationsschnittstelle 101, welche ausgebildet ist, einen Betriebsparameter eines weiteren Netzwerkknotens über ein Kommunikationsnetzwerk zu empfangen, wobei der Betriebsparameter des weiteren Netzwerkknotens einen Betriebszustand des weiteren Netzwerkknotens repräsentiert. Der Netzwerkknoten 100 umfasst ferner einen Speicher 103, welcher ausgebildet ist, einen Referenzbetriebsparameter des weiteren Netzwerkknotens zu speichern, wobei der Referenzbetriebsparameter einen Referenzbetriebszustand des weiteren Netzwerkknotens repräsentiert. Der Netzwerkknoten 100 umfasst ferner einen Prozessor 105, welcher ausgebildet ist, den Betriebsparameter mit dem Referenzbetriebsparameter zu vergleichen, um ein Vergleichsergebnis zu erhalten, und den Authentifizierungsindikator auf der Basis des Vergleichsergebnisses zu erzeugen, wobei der Authentifizierungsindikator eine erfolgreiche Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten oder eine fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten anzeigt.
  • In einem ersten Beispiel ist der Betriebsparameter eine elektrische Spannung einer elektrischen Schaltung des weiteren Netzwerkknotens. Der Referenzbetriebsparameter ist entsprechend eine elektrische Referenzspannung der elektrischen Schaltung des weiteren Netzwerkknotens. In diesem Beispiel soll der weitere Netzwerkknoten als durch den Netzwerkknoten 100 authentifiziert gelten, falls die elektrische Spannung die elektrische Referenzspannung überschreitet. Der Prozessor 105 vergleicht die elektrische Spannung als Betriebsparameter mit der elektrischen Referenzspannung als Referenzbetriebsparameter und erhält beispielsweise als Vergleichsergebnis, dass der Betriebsparameter den Referenzbetriebsparameter überschreitet. Der Prozessor 105 erzeugt folglich einen Authentifizierungsindikator, welcher eine erfolgreiche Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten 100 anzeigt. Alternativ erhält der Prozessor 105 als Vergleichsergebnis, dass der Betriebsparameter dem Referenzbetriebsparameter entspricht oder diesen unterschreitet. Der Prozessor 105 erzeugt folglich einen Authentifizierungsindikator, welcher eine fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten 100 anzeigt.
  • In einem zweiten Beispiel ist der Betriebsparameter eine Resonanzfrequenz einer elektrischen Schaltung, beispielsweise eines elektrischen Schwingkreises, des weiteren Netzwerkknotens. Der Referenzbetriebsparameter ist entsprechend eine Referenzresonanzfrequenz der elektrischen Schaltung des weiteren Netzwerkknotens. In diesem Beispiel soll der weitere Netzwerkknoten als durch den Netzwerkknoten 100 authentifiziert gelten, falls die Resonanzfrequenz der Referenzresonanzfrequenz entspricht, wobei ein vorbestimmter Toleranzbereich, beispielsweise von 1% um die Referenzresonanzfrequenz, berücksichtigt werden kann. Der Prozessor 105 vergleicht die Resonanzfrequenz als Betriebsparameter mit der Referenzresonanzfrequenz als Referenzbetriebsparameter und erhält beispielsweise als Vergleichsergebnis, dass der Betriebsparameter dem Referenzbetriebsparameter entspricht. Der Prozessor 105 erzeugt folglich einen Authentifizierungsindikator, welcher eine erfolgreiche Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten 100 anzeigt. Alternativ erhält der Prozessor 105 als Vergleichsergebnis, dass der Betriebsparameter den Referenzbetriebsparameter überschreitet oder unterschreitet. Der Prozessor 105 erzeugt folglich einen Authentifizierungsindikator, welcher eine fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten 100 anzeigt.
  • In einem dritten Beispiel ist der Betriebsparameter eine Prozessorauslastung eines Prozessors des weiteren Netzwerkknotens. Der Referenzbetriebsparameter ist entsprechend eine Referenzprozessorauslastung des Prozessors des weiteren Netzwerkknotens. In diesem Beispiel soll der weitere Netzwerkknoten als durch den Netzwerkknoten 100 authentifiziert gelten, falls die Prozessorauslastung die Referenzprozessorauslastung unterschreitet. Der Prozessor 105 vergleicht die Prozessorauslastung als Betriebsparameter mit der Referenzprozessorauslastung als Referenzbetriebsparameter und erhält beispielsweise als Vergleichsergebnis, dass der Betriebsparameter den Referenzbetriebsparameter unterschreitet. Der Prozessor 105 erzeugt folglich einen Authentifizierungsindikator, welcher eine erfolgreiche Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten 100 anzeigt. Alternativ erhält der Prozessor 105 als Vergleichsergebnis, dass der Betriebsparameter dem Referenzbetriebsparameter entspricht oder diesen überschreitet. Der Prozessor 105 erzeugt folglich einen Authentifizierungsindikator, welcher eine fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten 100 anzeigt.
  • Die beschriebenen Beispiele können auf beliebige Kombinationen von Betriebsparametern und Referenzbetriebsparametern verallgemeinert werden, wobei vorab lediglich definiert sein sollten, welches Vergleichsergebnis einer erfolgreichen Authentifizierung oder einer fehlgeschlagenen Authentifizierung des weiteren Netzwerkknotens entsprechen soll. Als Betriebsparameter bzw. Referenzbetriebsparameter können im Allgemeinen verschiedene analoge oder digitale Größen verwendet werden, welche einen Betriebszustand bzw. ein Betriebsverhalten des weiteren Netzwerkknotens repräsentieren.
  • Fig. 2 zeigt ein schematisches Diagramm eines Netzwerkknotens 200 zum Aussenden eines Betriebsparameters des Netzwerkknotens 200. Der Netzwerkknoten 200 umfasst eine Erfassungseinrichtung 201, welche ausgebildet ist, den Betriebsparameters des Netzwerkknotens 200 zu erfassen, wobei der Betriebsparameter des Netzwerkknotens 200 einen Betriebszustand des Netzwerkknotens 200 repräsentiert. Der Netzwerkknoten 200 umfasst ferner eine Kommunikationsschnittstelle 203, welche ausgebildet ist, den Betriebsparameter des Netzwerkknotens 200 über ein Kommunikationsnetzwerk auszusenden.
  • Die Erfassungseinrichtung 201 kann je nach verwendetem Betriebsparameter einen geeigneten Sensor zum Erfassen des Betriebsparameters umfassen. Beispielsweise kann die Erfassungseinrichtung 201 einen Spannungssensor zum Erfassen einer elektrischen Spannung, einen Stromsensor zum Erfassen eines elektrischen Stromes, einen Resonanzfrequenzsensor zum Erfassen einer Resonanzfrequenz, oder einen Temperatursensor zum Erfassen einer Betriebstemperatur umfassen.
  • Die Erfassungseinrichtung 201 kann ferner einen Prozessorauslastungssensor zum Erfassen einer Prozessorauslastung oder einen Speicherauslastungssensor zum Erfassen einer Speicherauslastung umfassen. Ferner kann die Erfassungseinrichtung 201 eine Datenschnittstelle aufweisen, welche ausgebildet ist, einen Prozessorauslastungsindikator und/oder einen Speicherauslastungsindikator zu empfangen, wobei der Prozessorauslastungsindikator die Prozessorauslastung anzeigt, und wobei der Speicherauslastungsindikator die Speicherauslastung anzeigt. Der Prozessorauslastungsindikator und/oder der Speicherauslastungsindikator können durch einen Prozessor des Netzwerkknotens 200 und/oder einen Speicher des Netzwerkknotens 200 bereitgestellt und ausgesendet werden.
  • Fig. 3 zeigt ein schematisches Diagramm eines Kommunikationssystems 300 zum Kommunizieren über ein Kommunikationsnetzwerk. Das Kommunikationssystem 300 umfasst einen Netzwerkknoten 100 und einen weiteren Netzwerkknoten 200.
  • Der Netzwerkknoten 100 ist ausgebildet, einen Authentifizierungsindikator zu erzeugen. Der Netzwerkknoten 100 umfasst eine Kommunikationsschnittstelle 101, welche ausgebildet ist, einen Betriebsparameter des weiteren Netzwerkknotens 200 über ein Kommunikationsnetzwerk zu empfangen, wobei der Betriebsparameter des weiteren Netzwerkknotens 200 einen Betriebszustand des weiteren Netzwerkknotens 200 repräsentiert. Der Netzwerkknoten 100 umfasst ferner einen Speicher 103, welcher ausgebildet ist, einen Referenzbetriebsparameter des weiteren Netzwerkknotens 200 zu speichern, wobei der Referenzbetriebsparameter einen Referenzbetriebszustand des weiteren Netzwerkknotens 200 repräsentiert. Der Netzwerkknoten 100 umfasst ferner einen Prozessor 105, welcher ausgebildet ist, den Betriebsparameter mit dem Referenzbetriebsparameter zu vergleichen, um ein Vergleichsergebnis zu erhalten, und den Authentifizierungsindikator auf der Basis des Vergleichsergebnisses zu erzeugen, wobei der Authentifizierungsindikator eine erfolgreiche Authentifizierung des weiteren Netzwerkknotens 200 durch den Netzwerkknoten 100 oder eine fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens 200 durch den Netzwerkknoten 100 anzeigt.
  • Der weitere Netzwerkknoten 200 ist ausgebildet, den Betriebsparameter des weiteren Netzwerkknotens 200 auszusenden. Der weitere Netzwerkknoten 200 umfasst eine Erfassungseinrichtung 201, welche ausgebildet ist, den Betriebsparameters des weiteren Netzwerkknotens 200 zu erfassen, wobei der Betriebsparameter des weiteren Netzwerkknotens 200 den Betriebszustand des weiteren Netzwerkknotens 200 repräsentiert. Der weitere Netzwerkknoten 200 umfasst ferner eine Kommunikationsschnittstelle 203, welche ausgebildet ist, den Betriebsparameter des weiteren Netzwerkknotens 200 über das Kommunikationsnetzwerk an den Netzwerkknoten 100 auszusenden.
  • Fig. 3a zeigt ein schematisches Diagramm eines Kommunikationssystems 300 zum Kommunizieren über ein Kommunikationsnetzwerk. Das Kommunikationssystem 300 umfasst eine Mehrzahl von Netzwerkknoten 100, 100a, 100b, 100c, 100d sowie einen weiteren Netzwerkknoten 200. Die Mehrzahl von Netzwerkknoten 100, 100a, 100b, 100c, 100d sind identisch aufgebaut und weisen identische Funktionalitäten auf.
  • Jeder Netzwerkknoten 100, 100a, 100b, 100c, 100d ist ausgebildet, einen jeweiligen Authentifizierungsindikator zu erzeugen. Jeder Netzwerkknoten 100, 100a, 100b, 100c, 100d umfasst eine Kommunikationsschnittstelle, welche ausgebildet ist, einen Betriebsparameter des weiteren Netzwerkknotens 200 über das Kommunikationsnetzwerk zu empfangen, wobei der Betriebsparameter des weiteren Netzwerkknotens 200 einen Betriebszustand des weiteren Netzwerkknotens 200 repräsentiert. Jeder Netzwerkknoten 100, 100a, 100b, 100c, 100d umfasst ferner einen Speicher, welcher ausgebildet ist, einen jeweiligen Referenzbetriebsparameter des weiteren Netzwerkknotens 200 zu speichern, wobei der jeweilige Referenzbetriebsparameter einen jeweiligen Referenzbetriebszustand des weiteren Netzwerkknotens 200 repräsentiert. Jeder Netzwerkknoten 100, 100a, 100b, 100c, 100d umfasst ferner einen Prozessor, welcher ausgebildet ist, den Betriebsparameter mit dem jeweiligen Referenzbetriebsparameter zu vergleichen, um ein jeweiliges Vergleichsergebnis zu erhalten, und einen jeweiligen Authentifizierungsindikator auf der Basis des jeweiligen Vergleichsergebnisses zu erzeugen, wobei der jeweilige Authentifizierungsindikator eine erfolgreiche Authentifizierung des weiteren Netzwerkknotens 200 durch den jeweiligen Netzwerkknoten 100, 100a, 100b, 100c, 100d oder eine fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens 200 durch den jeweiligen Netzwerkknoten 100, 100a, 100b, 100c, 100d anzeigt. Die Kommunikationsschnittstelle kann ausgebildet sein, den jeweiligen Authentifizierungsindikator über das Kommunikationsnetzwerk, beispielsweise als Broadcast oder als Multicast, auszusenden.
  • Der weitere Netzwerkknoten 200 ist ausgebildet, den Betriebsparameter des weiteren Netzwerkknotens 200 auszusenden. Der weitere Netzwerkknoten 200 umfasst eine Erfassungseinrichtung, welche ausgebildet ist, den Betriebsparameters des weiteren Netzwerkknotens 200 zu erfassen, wobei der Betriebsparameter des weiteren Netzwerkknotens 200 den Betriebszustand des weiteren Netzwerkknotens 200 repräsentiert. Der weitere Netzwerkknoten 200 umfasst ferner eine Kommunikationsschnittstelle, welche ausgebildet ist, den Betriebsparameter des weiteren Netzwerkknotens 200 über das Kommunikationsnetzwerk an die Mehrzahl von Netzwerkknoten 100, 100a, 100b, 100c, 100d auszusenden. Das Aussenden des Betriebsparameters kann beispielsweise als Broadcast oder als Multicast erfolgen.
  • Jeder Netzwerkknoten 100, 100a, 100b, 100c, 100d kann unter Verwendung der jeweils erzeugten Authentifizierungsindikatoren entscheiden, ob eine Übertragung von Nutzdaten zwischen dem jeweiligen Netzwerkknoten 100, 100a, 100b, 100c, 100d und dem weiteren Netzwerkknoten 200 zugelassen oder unterbunden wird. Dies soll beispielshaft für den Netzwerkknoten 100 erläutert werden und gilt entsprechend für die Netzwerkknoten 100a, 100b, 100c, 100d.
  • Der Prozessor des Netzwerkknotens 100 erzeugt einen Authentifizierungsindikator, welcher eine erfolgreiche oder fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens 200 durch den Netzwerkknoten 100 anzeigt. Ferner empfängt die Kommunikationsschnittstelle des Netzwerkknotens 100 eine Mehrzahl von weiteren Authentifizierungsindikatoren über das Kommunikationsnetzwerk von den Netzwerkknoten 100a, 100b, 100c, 100d, welche jeweils eine erfolgreiche oder fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens 200 durch den jeweiligen Netzwerkknoten 100a, 100b, 100c, 100d anzeigen. Der Prozessor des Netzwerkknotens 100 bestimmt auf der Basis des Authentifizierungsindikators und der Mehrzahl von weiteren Authentifizierungsindikatoren eine Anzahl von erfolgreichen Authentifizierungen des weiteren Netzwerkknotens 200 und eine Anzahl von fehlgeschlagenen Authentifizierungen des weiteren Netzwerkknotens 200.
  • Der Prozessor des Netzwerkknotens 100 ist ausgebildet, die Anzahl von erfolgreichen Authentifizierungen des weiteren Netzwerkknotens 200 mit der Anzahl von fehlgeschlagenen Authentifizierungen des weiteren Netzwerkknotens 200 zu vergleichen. Der Prozessor des Netzwerkknotens 100 kann folglich eine Übertragung von Nutzdaten zwischen dem Netzwerkknoten 100 und dem weiteren Netzwerkknoten 200 zu unterbinden falls die Anzahl von erfolgreichen Authentifizierungen kleiner oder gleich der Anzahl von fehlgeschlagenen Authentifizierungen ist, und die Übertragung von Nutzdaten zwischen dem Netzwerkknoten 100 und dem weiteren Netzwerkknoten 200 zuzulassen falls die Anzahl von erfolgreichen Authentifizierungen größer als die Anzahl von fehlgeschlagenen Authentifizierungen ist.
  • Das Konzept kann auf beliebige Topologien des Kommunikationsnetzwerkes erweitert werden. Ferner kann jeder einzelne Netzwerkknoten sowohl die Funktionalität des Netzwerkknotens 100 als auch die Funktionalität des Netzwerkknotens 200 zugleich aufweisen. Folglich kann eine Überwachung eines jeden Netzwerkknotens in dem Kommunikationsnetzwerk durch jeden anderen Netzwerkknoten realisiert werden.
  • Fig. 4 zeigt ein schematisches Diagramm eines Verfahrens 400 zum Betreiben eines Netzwerkknotens zum Erzeugen eines Authentifizierungsindikators. Der Netzwerkknoten umfasst eine Kommunikationsschnittstelle, einen Speicher und einen Prozessor. Der Speicher ist ausgebildet, einen Referenzbetriebsparameter eines weiteren Netzwerkknotens zu speichern, wobei der Referenzbetriebsparameter einen Referenzbetriebszustand des weiteren Netzwerkknotens repräsentiert. Das Verfahren 400 umfasst ein Empfangen 401 eines Betriebsparameters des weiteren Netzwerkknotens über ein Kommunikationsnetzwerk durch die Kommunikationsschnittstelle, wobei der Betriebsparameter des weiteren Netzwerkknotens einen Betriebszustand des weiteren Netzwerkknotens repräsentiert, ein Vergleichen 403 des Betriebsparameters mit dem Referenzbetriebsparameter durch den Prozessor, um ein Vergleichsergebnis zu erhalten, und ein Erzeugen 405 des Authentifizierungsindikators auf der Basis des Vergleichsergebnisses durch den Prozessor, wobei der Authentifizierungsindikator eine erfolgreiche Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten oder eine fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens durch den Netzwerkknoten anzeigt.
  • Fig. 5 zeigt ein schematisches Diagramm eines Verfahrens 500 zum Betreiben eines Netzwerkknotens zum Aussenden eines Betriebsparameters des Netzwerkknotens. Der Netzwerkknoten umfasst eine Erfassungseinrichtung und eine Kommunikationsschnittstelle. Das Verfahren 500 umfasst ein Erfassen 501 des Betriebsparameters des Netzwerkknotens durch die Erfassungseinrichtung, wobei der Betriebsparameter des Netzwerkknotens einen Betriebszustand des Netzwerkknotens repräsentiert, und ein Aussenden 503 des Betriebsparameters des Netzwerkknotens über ein Kommunikationsnetzwerk durch die Kommunikationsschnittstelle.
  • Zusammenfassend wird durch das Konzept eine Möglichkeit geschaffen, ein heterogenes Kommunikationsnetzwerk mit Netzwerkknoten, welche analoge Komponenten, digitale Komponenten und Kommunikationsschnittstellen aufweisen, hinsichtlich der Authentizität und Integrität der Netzwerkknoten zu überwachen. Insbesondere kann eine gegenseitige Authentifizierung der Netzwerkknoten erfolgen. Die Netzwerkknoten können beispielsweise durch Maschinen, analoge oder digitale Sensoren, Mikrocontroller, PCs, mobile Endgeräte, oder Softwarekomponenten gebildet sein. Ferner kann auf die Verwendung einer Zentralinstanz verzichtet werden, wodurch die Datensicherheit in dem Kommunikationsnetzwerk erhöht werden kann. Jeder Netzwerkknoten des Kommunikationsnetzwerkes kann dabei seine jeweiligen Nachbarn aktiv kontrollieren und analoge sowie digitale Größen als Charakteristika verwenden.
  • Bei der Überprüfung der Authentizität und Integrität des Kommunikationsnetzwerkes können insbesondere zwei Szenarien voneinander unterschieden werden. Das Konzept kann in beiden Szenarien gleichermaßen verwendet werden.
  • Das erste Szenario betrifft ein Hochfahren eines weiteren Netzwerkknotens. Gemäß einer Ausführungsform wird dabei eine initiale Authentifizierung durchgeführt. Bei diesem Szenario sollte der weitere Netzwerkknoten, der entweder neu in das Kommunikationsnetzwerk kommt oder eine bestimmte Zeit deaktiviert bzw. offline war, wieder neu überprüft werden. Dabei kann geklärt werden, ob der hochfahrende weitere Netzwerkknoten bereits Bestandteil des Kommunikationsnetzwerkes war oder, wenn es sich um einen neu hinzukommenden weiteren Netzwerkknoten handelt, ob dieser die Voraussetzung erfüllt, um in das bestehende Kommunikationsnetzwerk aufgenommen zu werden und Nutzdaten übertragen darf.
  • Für die Überprüfung kann beispielsweise ein charakteristischer Betriebsparameter für das Hochfahren des weiteren Netzwerkknotens verwendet werden. Die Mehrzahl von Netzwerkknoten in der Nachbarschaft des hochfahrenden weiteren Netzwerkknotens können diesen charakteristischen Betriebsparameter jeweils selbständig und automatisiert identifiziert und jeweils bei sich als Referenzbetriebsparameter abgespeichert haben.
  • Wenn der weitere Netzwerkknoten bereits bekannt ist, kann für diesen bereits jeweils ein Authentifizierungsindikator erzeugt werden. Wenn ein jeweiliger Netzwerkknoten jedoch keinen Referenzbetriebsparameter für den weiteren Netzwerkknoten findet, kann dieser weitere Netzwerkknoten als neu definiert und ein Referenzbetriebsparameter betreffend sein erstmaliges Hochfahrverhalten abgespeichert werden. Der weitere Netzwerkknoten stellt den Betriebsparameter hierfür bereit und kann diesen periodisch aussenden.
  • Das zweite Szenario betrifft einen laufenden Betrieb des weiteren Netzwerkknotens. Gemäß einer Ausführungsform wird dabei eine dynamische Authentifizierung durchgeführt. Damit die Authentizität und Integrität des Kommunikationsnetzwerkes auch im bestehenden Betrieb geprüft werden kann, kann eine Überprüfung der Netzwerkknoten im laufenden Betrieb erfolgen. So kann sich beispielsweise der Zustand bzw. das Verhalten des weiteren Netzwerkknotens im laufenden Betrieb ändern, beispielsweise weil eine neue Software auf diesen Netzwerkknoten geladen wird, weil eine Teilkomponente dieses Netzwerkknotens wieder hochfährt oder in Betrieb genommen wird, oder weil eine kritische Alterung in diesem Netzwerkknoten oder dem Kommunikationsnetzwerk selbst stattgefunden hat.
  • Im laufenden Betrieb wird durch die Mehrzahl von Netzwerkknoten analysiert, wie der Betriebszustand bzw. das Betriebsverhalten des benachbarten weiteren Netzwerkknotens aussieht. Durch zumindest einen bereitgestellten Betriebsparameter des weiteren Netzwerkknotens wird es der Mehrzahl von Netzwerkknoten ermöglicht zu bestimmen, ob es sich um den gleichen weiteren Netzwerkknoten handelt. Gemäß einer Ausführungsform kann hierfür eine Korrelationsanalyse oder ein Ansatz aus dem Bereich der künstlichen Intelligenz zum Einsatz kommen.
  • In beiden Szenarien kann eine Überwachung der benachbarten Netzwerkknoten auf folgende Art realisiert werden: Jeder Netzwerkknoten stellt zumindest einen Betriebsparameter bereit, welche er über sich selber liefern kann, insbesondere eine analoge und/oder eine digitale Größe. Gemäß einer Ausführungsform repräsentiert der Betriebsparameter eine Stromkurve, eine Spannungskurve, ein kryptographisches Zertifikat, oder eine Softwareversion. Gemäß einer Ausführungsform ist der Betriebsparameter Teil einer Stromkurve, einer Spannungskurve, eines kryptographischen Zertifikats, oder einer Softwareversion. Ferner kann jeder Netzwerkknoten eine eindeutige Identifikationskennung (ID) des jeweiligen Netzwerkknotens gemeinsam mit dem zumindest einen Betriebsparameter bereitstellen. Jeder Netzwerkknoten kann selbst evaluieren und bestimmen, welchen Netzwerkknoten er in seiner Nachbarschaft überprüft. Dabei kann die Maxime gelten, dass jeder Netzwerkknoten versucht, möglichst viele weitere Netzwerkknoten zu überwachen, ohne eine Einschränkung hinsichtlich der eigenen Performance in Kauf nehmen zu müssen.
  • Sollte beispielsweise der Fall eintreten, dass ein neuer Netzwerkknoten Nutzdaten liefert, die von keinem anderen Netzwerkknoten ausgewertet werden sollen, dann wird dieser Knoten auch nicht in das Kommunikationsnetzwerk integriert. Bei einer signifikanten Veränderung des Betriebszustandes bzw. des Betriebsverhaltens des weiteren Netzwerkknotens, entscheiden die benachbarten Netzwerkknoten bzw. das Kommunikationsnetzwerk, ob es sich bei der Veränderung um eine Anomalie handelt. Wenn diese Frage mehrheitlich bejaht wird, kann der betroffene Netzwerkknoten isoliert und die Übertragung von Nutzdaten von bzw. zu diesem Netzwerkknoten eingestellt werden.
  • Das Konzept erlaubt eine Erhöhung der Sicherheit durch eine gegenseitige Authentifizierung der Netzwerkknoten. Mittels einer Analyse der Betriebsparameter kann ein potentieller Ausfall eines Netzwerkknotens vorhergesagt werden (engl. predictive point of failure). Ferner kann eine dezentrale Speicherung und Auswertung von kritischen Betriebsparametern erfolgen, wodurch die Sicherheit weiter erhöht werden kann. Zudem kann ein sicheres Kommunikationsnetzwerk für Anwendungen auf dem Gebiet der Industrie 4.0 mit unterschiedlichen Sensoren, Maschinen und Prozessen realisiert werden, in welchem jeder Netzwerkknoten beispielsweise seine direkte Nachbarschaft kontrolliert, und in welchem beispielsweise ein An- oder Ausschaltvorgang sowie ein laufender Betrieb von Netzwerkknoten durch andere Netzwerkknoten kontrolliert werden kann.
  • Alle in Verbindung mit einzelnen Ausführungsformen der Erfindung beschriebenen oder gezeigten Merkmale können in unterschiedlicher Kombination in dem erfindungsgemäßen Gegenstand vorgesehen sein, um gleichzeitig deren vorteilhafte Wirkungen zu realisieren.
  • BEZUGSZEICHENLISTE
  • 100
    Netzwerkknoten
    100a
    Netzwerkknoten
    100b
    Netzwerkknoten
    100c
    Netzwerkknoten
    100d
    Netzwerkknoten
    101
    Kommunikationsschnittstelle
    103
    Speicher
    105
    Prozessor
    200
    Netzwerkknoten
    201
    Erfassungseinrichtung
    203
    Kommunikationsschnittstelle
    300
    Kommunikationssystem
    400
    Verfahren zum Betreiben eines Netzwerkknotens
    401
    Empfangen eines Betriebsparameters
    403
    Vergleichen des Betriebsparameters mit dem Referenzbetriebsparameter
    405
    Erzeugen des Authentifizierungsindikators
    500
    Verfahren zum Betreiben eines Netzwerkknotens
    501
    Erfassen des Betriebsparameters des Netzwerkknotens
    503
    Aussenden des Betriebsparameters des Netzwerkknotens

Claims (15)

  1. Netzwerkknoten (100) zum Erzeugen eines Authentifizierungsindikators, mit:
    einer Kommunikationsschnittstelle (101), welche ausgebildet ist, einen Betriebsparameter eines weiteren Netzwerkknotens (200) über ein Kommunikationsnetzwerk zu empfangen, wobei der Betriebsparameter des weiteren Netzwerkknotens (200) einen Betriebszustand des weiteren Netzwerkknotens (200) repräsentiert;
    einem Speicher (103), welcher ausgebildet ist, einen Referenzbetriebsparameter des weiteren Netzwerkknotens (200) zu speichern, wobei der Referenzbetriebsparameter einen Referenzbetriebszustand des weiteren Netzwerkknotens (200) repräsentiert; und
    einem Prozessor (105), welcher ausgebildet ist, den Betriebsparameter mit dem Referenzbetriebsparameter zu vergleichen, um ein Vergleichsergebnis zu erhalten, und den Authentifizierungsindikator auf der Basis des Vergleichsergebnisses zu erzeugen, wobei der Authentifizierungsindikator eine erfolgreiche Authentifizierung des weiteren Netzwerkknotens (200) durch den Netzwerkknoten (100) oder eine fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens (200) durch den Netzwerkknoten (100) anzeigt.
  2. Netzwerkknoten (100) nach Anspruch 1, wobei die Kommunikationsschnittstelle (101) ausgebildet ist, den Authentifizierungsindikator über das Kommunikationsnetzwerk auszusenden.
  3. Netzwerkknoten (100) nach einem der vorstehenden Ansprüche, wobei die Kommunikationsschnittstelle (101) ausgebildet ist, eine Mehrzahl von weiteren Authentifizierungsindikatoren über das Kommunikationsnetzwerk zu empfangen, und wobei der Prozessor (105) ausgebildet ist, eine Anzahl von erfolgreichen Authentifizierungen des weiteren Netzwerkknotens (200) auf der Basis des Authentifizierungsindikators und der Mehrzahl von weiteren Authentifizierungsindikatoren zu bestimmen, und eine Anzahl von fehlgeschlagenen Authentifizierungen des weiteren Netzwerkknotens (200) auf der Basis des Authentifizierungsindikators und der Mehrzahl von weiteren Authentifizierungsindikatoren zu bestimmen.
  4. Netzwerkknoten (100) nach Anspruch 3, wobei der Prozessor (105) ausgebildet ist, die Anzahl von erfolgreichen Authentifizierungen des weiteren Netzwerkknotens (200) mit der Anzahl von fehlgeschlagenen Authentifizierungen des weiteren Netzwerkknotens (200) zu vergleichen, und eine Übertragung von Nutzdaten zwischen dem Netzwerkknoten (100) und dem weiteren Netzwerkknoten (200) zu unterbinden falls die Anzahl von erfolgreichen Authentifizierungen kleiner oder gleich der Anzahl von fehlgeschlagenen Authentifizierungen ist.
  5. Netzwerkknoten (100) nach Anspruch 4, wobei der Prozessor (105) ausgebildet ist, die Übertragung von Nutzdaten zwischen dem Netzwerkknoten (100) und dem weiteren Netzwerkknoten (200) zuzulassen falls die Anzahl von erfolgreichen Authentifizierungen größer als die Anzahl von fehlgeschlagenen Authentifizierungen ist.
  6. Netzwerkknoten (100) nach einem der vorstehenden Ansprüche, wobei der Betriebsparameter zumindest einen der folgenden Betriebsparameter umfasst: eine elektrische Spannung einer elektrischen Schaltung des weiteren Netzwerkknotens (200), einen elektrischen Strom einer elektrischen Schaltung des weiteren Netzwerkknotens (200), eine Resonanzfrequenz einer elektrischen Schaltung des weiteren Netzwerkknotens (200), eine Betriebstemperatur des weiteren Netzwerkknotens (200), eine Prozessorauslastung eines Prozessors des weiteren Netzwerkknotens (200), oder eine Speicherauslastung eines Speichers des weiteren Netzwerkknotens (200).
  7. Netzwerkknoten (100) nach einem der vorstehenden Ansprüche, wobei die Kommunikationsschnittstelle (101) ausgebildet ist, den Betriebsparameter des weiteren Netzwerkknotens (200) periodisch innerhalb eines vorbestimmtes Zeitintervalls über das Kommunikationsnetzwerk zu empfangen, und wobei der Prozessor (105) ausgebildet ist, eine Parametermetrik, insbesondere einen Mittelwert, einen Minimalwert oder einen Maximalwert, des periodisch empfangenen Betriebsparameters innerhalb des vorbestimmten Zeitintervalls zu bestimmen, und die Parametermetrik als Referenzbetriebsparameter in dem Speicher (103) zu speichern.
  8. Netzwerkknoten (200) zum Aussenden eines Betriebsparameters des Netzwerkknotens (200), mit:
    einer Erfassungseinrichtung (201), welche ausgebildet ist, den Betriebsparameters des Netzwerkknotens (200) zu erfassen, wobei der Betriebsparameter des Netzwerkknotens (200) einen Betriebszustand des Netzwerkknotens (200) repräsentiert; und
    einer Kommunikationsschnittstelle (203), welche ausgebildet ist, den Betriebsparameter des Netzwerkknotens (200) über ein Kommunikationsnetzwerk auszusenden.
  9. Netzwerkknoten (200) nach Anspruch 8, wobei die Erfassungseinrichtung (201) ausgebildet ist, den Betriebsparameter des Netzwerkknotens (200) periodisch zu erfassen, und wobei die Kommunikationsschnittstelle (203) ausgebildet ist, den Betriebsparameter des Netzwerkknotens (200) periodisch über das Kommunikationsnetzwerk auszusenden.
  10. Netzwerkknoten (200) nach einem der Ansprüche 8 oder 9, wobei der Betriebsparameter zumindest einen der folgenden Betriebsparameter umfasst: eine elektrische Spannung einer elektrischen Schaltung des Netzwerkknotens (200), einen elektrischen Strom einer elektrischen Schaltung des Netzwerkknotens (200), eine Resonanzfrequenz einer elektrischen Schaltung des Netzwerkknotens (200), eine Betriebstemperatur des Netzwerkknotens (200), eine Prozessorauslastung eines Prozessors des Netzwerkknotens (200), oder eine Speicherauslastung eines Speichers des Netzwerkknotens (200).
  11. Kommunikationssystem (300) zum Kommunizieren über ein Kommunikationsnetzwerk, mit:
    einem Netzwerkknoten (100) nach einem der Ansprüche 1 bis 7; und
    einem weiteren Netzwerkknoten (200) nach einem der Ansprüche 8 bis 10.
  12. Kommunikationssystem (300) nach Anspruch 11, wobei der Netzwerkknoten (100) und der weitere Netzwerkknoten (200) logisch benachbart sind, oder wobei der Netzwerkknoten (100) und der weitere Netzwerkknoten (200) geographisch benachbart sind.
  13. Verfahren (400) zum Betreiben eines Netzwerkknotens (100) zum Erzeugen eines Authentifizierungsindikators, wobei der Netzwerkknoten (100) eine Kommunikationsschnittstelle (101), einen Speicher (103) und einen Prozessor (105) umfasst, wobei der Speicher (103) ausgebildet ist, einen Referenzbetriebsparameter eines weiteren Netzwerkknotens (200) zu speichern, wobei der Referenzbetriebsparameter einen Referenzbetriebszustand des weiteren Netzwerkknotens (200) repräsentiert, mit:
    Empfangen (401) eines Betriebsparameters des weiteren Netzwerkknotens (200) über ein Kommunikationsnetzwerk durch die Kommunikationsschnittstelle (101), wobei der Betriebsparameter des weiteren Netzwerkknotens (200) einen Betriebszustand des weiteren Netzwerkknotens (200) repräsentiert;
    Vergleichen (403) des Betriebsparameters mit dem Referenzbetriebsparameter durch den Prozessor (105), um ein Vergleichsergebnis zu erhalten; und
    Erzeugen (405) des Authentifizierungsindikators auf der Basis des Vergleichsergebnisses durch den Prozessor (105), wobei der Authentifizierungsindikator eine erfolgreiche Authentifizierung des weiteren Netzwerkknotens (200) durch den Netzwerkknoten (100) oder eine fehlgeschlagene Authentifizierung des weiteren Netzwerkknotens (200) durch den Netzwerkknoten (100) anzeigt.
  14. Verfahren (500) zum Betreiben eines Netzwerkknotens (200) zum Aussenden eines Betriebsparameters des Netzwerkknotens (200), wobei der Netzwerkknoten (200) eine Erfassungseinrichtung (201) und eine Kommunikationsschnittstelle (203) umfasst, mit:
    Erfassen (501) des Betriebsparameters des Netzwerkknotens (200) durch die Erfassungseinrichtung (201), wobei der Betriebsparameter des Netzwerkknotens (200) einen Betriebszustand des Netzwerkknotens (200) repräsentiert; und
    Aussenden (503) des Betriebsparameters des Netzwerkknotens (200) über ein Kommunikationsnetzwerk durch die Kommunikationsschnittstelle (203).
  15. Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens (400) nach Anspruch 13 oder des Verfahrens (500) nach Anspruch 14, wenn das Programm auf einem Netzwerkknoten (100; 200) ausgeführt wird.
EP18198105.1A 2017-10-12 2018-10-02 Netzwerkknoten zum erzeugen eines authentifizierungsindikators Active EP3471369B1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017123804.2A DE102017123804A1 (de) 2017-10-12 2017-10-12 Netzwerkknoten zum erzeugen eines authentifizierungsindikators

Publications (2)

Publication Number Publication Date
EP3471369A1 true EP3471369A1 (de) 2019-04-17
EP3471369B1 EP3471369B1 (de) 2020-04-15

Family

ID=63915148

Family Applications (1)

Application Number Title Priority Date Filing Date
EP18198105.1A Active EP3471369B1 (de) 2017-10-12 2018-10-02 Netzwerkknoten zum erzeugen eines authentifizierungsindikators

Country Status (2)

Country Link
EP (1) EP3471369B1 (de)
DE (1) DE102017123804A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110093703A1 (en) * 2009-10-16 2011-04-21 Etchegoyen Craig S Authentication of Computing and Communications Hardware
US20120144479A1 (en) * 2010-12-01 2012-06-07 Nagravision S.A. Method for authenticating a terminal

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110093703A1 (en) * 2009-10-16 2011-04-21 Etchegoyen Craig S Authentication of Computing and Communications Hardware
US20120144479A1 (en) * 2010-12-01 2012-06-07 Nagravision S.A. Method for authenticating a terminal

Also Published As

Publication number Publication date
EP3471369B1 (de) 2020-04-15
DE102017123804A1 (de) 2019-04-18

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP2870565B1 (de) Überprüfung einer integrität von eigenschaftsdaten eines gerätes durch ein prüfgerät
EP3488556B1 (de) Sicheres konfigurieren eines gerätes
EP2975801B1 (de) Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
DE102016124352A1 (de) Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren
EP3177973A1 (de) Verfahren zum betreiben einer sicherheitssteuerung und automatisierungsnetzwerk mit einer solchen sicherheitssteuerung
WO2019052798A1 (de) Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem
EP3414632A1 (de) Verfahren und vorrichtung zum überwachen einer datenverarbeitung und -übertragung in einer sicherheitskette eines sicherheitssystems
EP3471369B1 (de) Netzwerkknoten zum erzeugen eines authentifizierungsindikators
WO2011120856A1 (de) Adressierungsverfahren und kommunikationsnetzwerk mit einem solchen adressierungsverfahren
EP3382478B1 (de) Verfahren, computer-programm-produkt und steuereinheit zum steuern von zugriffen auf it-systeme basierende netzwerke, insbesondere eingebettete systeme oder verteilte systeme umfassende automatisierungsnetzwerke, steuerungsnetzwerke oder kontrollnetzwerke
DE102018217964A1 (de) Verfahren und Vorrichtung zur Überwachung einer Datenkommunikation
WO2018114102A1 (de) Verfahren zum überprüfen einer mandantenzuordnung, computerprogrammprodukt und vorrichtung
EP2446599B1 (de) Gegen manipulation geschützte datenübertragung zwischen automatisierungsgeräten
WO2019115580A1 (de) Verfahren zum betreiben eines dezentralen speichersystems
DE102019216406B4 (de) Kommunikationssystem zum Überwachen von Prozesseinheiten
EP3832508B1 (de) Sperrung oder widerruf eines gerätezertifikats
DE102017210960B4 (de) Authentifizierungsabnormalitätsermittlungsvorrichtung für eine nachricht
DE102017102620A1 (de) Verfahren zur Positionsbestimmung eines mobilen BLE-Geräts
DE102021210429A1 (de) Verfahren zum Erkennen einer Manipulation eines Bussystems
EP4213050A1 (de) Automatische, sicherheitsbedingte verlagerung mindestens einer containerinstanz
DE102023128394A1 (de) Sicherheits- und Zuverlässigkeitsdetektion für einenSensorkommunikationskanal
DE102021210902A1 (de) Techniken zum detektieren eines eindringens in ein bussystem
WO2016012069A1 (de) Verfahren zur kommunikation zwischen einem kraftfahrzeug und einem benutzerendger?t
EP4293512A1 (de) Verfahren zum bereitstellen einer mehrzahl von anwendungen und kommunikationssystem

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN PUBLISHED

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20190902

RBV Designated contracting states (corrected)

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

INTG Intention to grant announced

Effective date: 20191114

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE PATENT HAS BEEN GRANTED

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 502018001203

Country of ref document: DE

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

REG Reference to a national code

Ref country code: AT

Ref legal event code: REF

Ref document number: 1258638

Country of ref document: AT

Kind code of ref document: T

Effective date: 20200515

REG Reference to a national code

Ref country code: NL

Ref legal event code: MP

Effective date: 20200415

REG Reference to a national code

Ref country code: LT

Ref legal event code: MG4D

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: FI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200716

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200815

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200817

Ref country code: NO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200715

Ref country code: NL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: SE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: LT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: RS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200715

Ref country code: LV

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: HR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: AL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 502018001203

Country of ref document: DE

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: ES

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: EE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: SM

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: IT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: RO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: PL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

26N No opposition filed

Effective date: 20210118

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20201002

Ref country code: MC

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

REG Reference to a national code

Ref country code: BE

Ref legal event code: MM

Effective date: 20201031

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: BE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20201031

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20201002

REG Reference to a national code

Ref country code: DE

Ref legal event code: R079

Ref document number: 502018001203

Country of ref document: DE

Free format text: PREVIOUS MAIN CLASS: H04L0029060000

Ipc: H04L0065000000

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: TR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: MT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

Ref country code: CY

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200415

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20211031

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20211031

P01 Opt-out of the competence of the unified patent court (upc) registered

Effective date: 20230526

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: GB

Payment date: 20231025

Year of fee payment: 6

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: FR

Payment date: 20231023

Year of fee payment: 6

Ref country code: DE

Payment date: 20231018

Year of fee payment: 6